Privacy policy per Facebook Lead Ads: cosa deve dire e come aggiungerla (2026)

Una privacy policy per Facebook Lead Ads è la pagina web live che linki dentro un lead form per dichiarare come tratti i dati personali che raccogli. I Lead Ad Terms di Meta rendono questa URL obbligatoria prima che qualsiasi Lead Ad possa girare, e leggi privacy come GDPR e CCPA richiedono lo stesso avviso. Deve spiegare cosa raccogli, come lo usi, con chi lo condividi, i diritti dell'utente e la data di efficacia. Il link non può essere un PDF, e secondo GDPR tu e Meta siete contitolari.

Hai costruito l'audience, scritto la creatività, progettato il modulo, e poi Meta ti ferma su un singolo campo: privacy policy, Link URL. Non puoi pubblicare l'annuncio senza. Quella casella è dove molte campagne lead si bloccano, perché nessuno ti ha detto cosa inserirci, cosa deve dire o perché il link sbagliato fa rifiutare il tuo annuncio.

Una privacy policy per Facebook Lead Ads non è opzionale e non è una formalità. È richiesta due volte: una dai Lead Ad Terms di Meta, e un'altra dalla legge privacy in quasi tutti i mercati in cui fai pubblicità. La buona notizia è che i requisiti sono stabili e specifici, quindi una volta capiti puoi impostarla una volta e smettere di preoccupartene. Questa guida è il walkthrough completo sul lato privacy e opt-in del formato Facebook Lead Ads: cosa deve dichiarare la policy, come aggiungere la URL al tuo modulo, un esempio che puoi adattare e come superare i rifiuti che bloccano la maggior parte degli inserzionisti.

Ho lanciato campagne lead su account di agenzia e in-house, e la privacy policy è il motivo più comune per cui un annuncio finito resta fermo in review. Quasi sempre è un problema piccolo e risolvibile. Rimuoviamolo per sempre.

I Facebook Lead Ads richiedono davvero una privacy policy?

Sì, e l'obbligo arriva da due direzioni indipendenti.

La prima è Meta. Quando accetti i Lead Ad Terms (cosa che devi fare per Page prima che qualsiasi Lead Ad giri), accetti che ogni Lead Ad includa le disclosure e i meccanismi di scelta necessari per rispettare la legge applicabile, un avviso chiaro che i dati inviati tramite il modulo sono regolati dalla tua privacy policy e un link a quella policy. I Terms, modificati l'ultima volta a ottobre 2025, vietano anche di targetizzare minori e raccogliere informazioni sensibili o proibite. L'instant form lo impone direttamente: il campo Privacy Policy URL è un gate duro, e il modulo non si pubblica finché è vuoto.

La seconda è la legge. Nel momento in cui un utente digita nome, email o numero di telefono nel tuo modulo, stai raccogliendo dati personali, il che attiva obblighi di trasparenza secondo GDPR, UK GDPR, CCPA, PIPEDA canadese, LGPD brasiliana e la maggior parte dei regimi privacy moderni. Queste leggi richiedono di dire alle persone cosa raccogli e perché al punto di raccolta, che è esattamente ciò che fa la policy linkata.

Quindi non stai mai scegliendo tra le regole di Meta e la legge. Entrambe si applicano insieme, e una singola policy conforme e ospitata soddisfa entrambe. Il campo vive dentro l'instant form di Meta, nella sezione Privacy, dove incollerai la URL più avanti in questa guida.

Cosa richiede Meta che la tua privacy policy copra

Meta non detta il testo esatto della tua policy e non ne richiede una personalizzata. La sua guida ufficiale sulle privacy policy per Lead Ads elenca invece i temi che si aspetta tu copra:

• Il tipo di informazioni che raccogli
• Come usi le informazioni che raccogli
• Se le condividi con affiliate o terze parti
• Se i clienti possono rivedere o cancellare le informazioni che conservi
• Come rispondi alle richieste legali
• Come notifichi i clienti dei cambiamenti alle tue pratiche privacy
• Come i clienti possono contattarti con domande
• La data di efficacia della policy

Due regole di quella guida vengono mancate di continuo, e entrambe causano rifiuti. Primo, la URL della policy non può linkare direttamente a un PDF, un'immagine o un download diretto. Deve essere una vera pagina web che si apre dentro l'app. Secondo, non ti serve una policy completamente nuova: una privacy policy aziendale esistente va bene, purché copra davvero il Lead Ad.

Oltre alla privacy policy in sé, il modulo deve rispettare le regole pubblicitarie più ampie di Meta su contenuti e domande proibiti. Se non sei sicuro di cosa passi la review nella tua categoria, il nostro breakdown delle Meta ad guidelines copre il quadro di compliance più ampio attorno ai tuoi lead forms.

Domande che non puoi fare

I Lead Ad Terms e gli Advertising Standards di Meta vietano di raccogliere dati sensibili o limitati in un instant form. Non richiedere nulla di quanto segue senza previa autorizzazione scritta di Meta:

• Numeri di account, username o password
• Identificativi rilasciati dal governo (numeri di previdenza sociale, patenti)
• Informazioni finanziarie o assicurative
• Informazioni sanitarie
• Precedenti penali
• Razza o etnia, religione, affiliazione politica, orientamento sessuale o appartenenza sindacale

Questo modella anche la tua policy: non dovrebbe mai implicare che raccogli dati che non ti è permesso raccogliere. Applica minimizzazione dei dati e chiedi solo ciò che ti serve davvero per soddisfare l'offerta.

Cosa richiede la legge: GDPR, CCPA e la trappola del contitolare

La checklist di Meta è il minimo. La legge privacy aggiunge la struttura, e un dettaglio sorprende quasi ogni inserzionista.

Secondo GDPR, sia Meta sia l'inserzionista sono data controller per Lead Ads. Siete contitolari. Questa è la posizione dichiarata da Meta, e conta perché significa che non puoi indicare Meta e assumere che la piattaforma porti tutto il peso della compliance. Ogni parte è responsabile di fornire avviso e stabilire una base giuridica per il trattamento. In parole semplici: sei responsabile di dire agli utenti come vengono usati i loro dati di lead, e la tua policy dovrebbe riconoscere che condividi dati con Meta per erogare e misurare i tuoi ads.

Il resto del quadro GDPR è familiare. Ti serve una base giuridica (consenso o legittimo interesse, con il consenso tipico per il marketing di follow-up). Il consenso deve essere libero, specifico, informato e inequivocabile, quindi niente caselle pre-selezionate o permessi raggruppati. Se prevedi di inviare email dopo l'invio, ottieni un opt-in marketing separato invece di inserirlo nella submission del lead. Gli utenti hanno diritti di accesso, correzione e cancellazione dei loro dati, e generalmente hai 30 giorni per rispondere.

Se targetizzi utenti UE o UK e usi il Meta Pixel sul tuo sito, la ePrivacy Directive richiede consenso prima che tracker non essenziali si attivino, motivo per cui appare un banner cookie per quei visitatori. In California, CCPA e CPRA ti danno fino a 45 giorni per rispondere alle richieste e richiedono una descrizione chiara dei diritti dei consumatori, più un meccanismo "Do Not Sell or Share My Personal Information" se una tua condivisione dati può contare come vendita o condivisione. PIPEDA e LGPD impongono doveri di trasparenza comparabili. Il punto è coerente ovunque: dì alle persone, per iscritto, cosa fai con i loro dati.

Cosa includere: checklist clausola per clausola

Una policy che soddisfa sia Meta sia le principali leggi privacy copre queste sezioni. Trattala come checklist invece che come script.

• Chi sei. Il nome della tua attività e un metodo di contatto reale (email o indirizzo), più il contatto del Data Protection Officer se ne hai uno.
• Cosa raccogli. Le categorie di dati che il tuo modulo raccoglie (nome, email, telefono) e qualsiasi dato precompilato o di tracking.
• Come li usi. Ogni finalità esplicitata: soddisfare l'offerta, follow-up, email marketing se consentito, retargeting, analytics.
• Base giuridica (UE/UK). Consenso o legittimo interesse per ogni finalità.
• Con chi li condividi. Nomina CRM, piattaforma email o agenzia per nome o categoria, e riconosci il ruolo di Meta nell'erogazione e misurazione degli ads.
• Clausola Meta Pixel e Business Tools. Se usi il Pixel, i Business Tools Terms richiedono un avviso chiaro che Meta e terze parti usano cookie e tecnologie simili per misurare e targetizzare ads, più come gli utenti possono fare opt out (link alle pagine centrali su aboutads.info/choices e youronlinechoices.eu, o Facebook Ad Preferences).
• Diritti dell'interessato. Come gli utenti accedono, correggono, cancellano o ritirano il consenso, con tempi di risposta (30 giorni UE/UK, 45 giorni California) e diritti specifici per Stato.
• Conservazione e sicurezza. Per quanto tempo conservi i lead e che li proteggi con misure ragionevoli.
• Modifiche e data di efficacia. La data di efficacia e come notificherai gli aggiornamenti.

Scrivila in linguaggio semplice. Un muro di legalese è più difficile da fidarsi per gli utenti e più difficile da validare per i reviewer di Meta.

Un esempio di sezione privacy policy per Lead Ads

Questo è uno scheletro di partenza, non consulenza legale. Sostituisci le parti tra parentesi e falla revisionare da un professionista prima di affidartici, specialmente per audience UE o California.

Privacy Policy di [Nome azienda] Data di efficacia: [data]

Informazioni che raccogliamo. Quando invii uno dei nostri moduli Facebook o Instagram, raccogliamo i dettagli che fornisci, come nome, indirizzo email e numero di telefono.

Come le usiamo. Usiamo queste informazioni per [erogare l'offerta che hai richiesto], per contattarti su [la tua richiesta] e, dove hai accettato, per inviarti comunicazioni marketing. Puoi ritirare il consenso o disiscriverti in qualsiasi momento.

Con chi le condividiamo. Condividiamo i tuoi dati con [fornitore CRM/email] per gestire il follow-up, e con Meta Platforms, Inc. per erogare e misurare i nostri ads. Non vendiamo le tue informazioni personali.

Tecnologie di tracking. Il nostro sito usa Meta Pixel e strumenti simili per misurare le performance degli ads e mostrare ads rilevanti. Puoi fare opt out tramite youronlinechoices.eu, aboutads.info/choices o le tue Facebook Ad Preferences.

I tuoi diritti. Puoi richiedere accesso, correzione o cancellazione dei tuoi dati scrivendo a [privacy@yourbusiness.com]. Rispondiamo entro [30/45] giorni.

Modifiche. Possiamo aggiornare questa policy e pubblicheremo qui la nuova data di efficacia.

Ancora il link che incolli in Facebook alla sezione rilevante della pagina, così gli utenti mobile arrivano direttamente lì.

Come aggiungere la URL della privacy policy all'instant form

Quando la policy è live, aggiungerla richiede meno di un minuto:

1. In Ads Manager, crea la campagna con obiettivo lead generation, oppure apri il modulo in Meta Business Suite.
2. Nella creatività dell'annuncio, crea o modifica l'instant form.
3. Apri la sezione Privacy dell'editor del modulo.
4. Clicca Add privacy policy e incolla la tua Link URL nel campo. La pagina deve essere live e mobile-friendly.
5. Opzionalmente imposta il Link Text. Lasciarlo come "Privacy Policy" è la scelta più chiara.
6. Salva il modulo, poi testa il link da un telefono prima di pubblicare.

Usa una URL pulita senza parametri di tracking. La validazione URL di Meta può segnalare link con query string aggiunte, e un link pieno di parametri è un altro modo per finire in review.

"Non ho un sito web" e altri casi limite

Questa è la domanda che riempie i forum marketing: qualcuno sta gestendo un Lead Ad per un side project, un servizio locale o un cliente, e non ha un dominio. Ti serve comunque una pagina privacy pubblicamente accessibile e non PDF. Non c'è modo di aggirare il campo URL, ma ci sono diversi modi semplici per crearne una.

Ordinati più o meno per velocità:

• Generatori gratuiti di policy ospitate. TermsFeed, iubenda, CookieYes e Privyr generano tutti una privacy policy e la ospitano a una URL live che puoi incollare direttamente nel modulo. Le versioni base sono spesso gratuite; personalizzazione e multilingua di solito costano extra.
• Un sito gratuito di una pagina. Google Sites, una pagina Wix o WordPress gratuita, oppure GitHub Pages ti danno una URL HTML. Pubblica lì il testo della policy e conferma che si apra su mobile.
• Il link policy di Meta. Non usarlo. Linkare facebook.com/privacy descrive le pratiche dati di Meta, non le tue, e non dichiara come gestisci i lead. Spesso causa disapprovazione, e anche quando passa ti lascia non conforme.

Un altro punto pratico: una singola policy può coprire Facebook, Instagram, Messenger, WhatsApp e persino lead gen su TikTok o LinkedIn, purché nomini e si applichi chiaramente a ogni piattaforma che usi. Non ti serve un documento separato per canale. Se entità legali diverse possiedono account pubblicitari diversi, quello è l'unico caso in cui policy separate hanno senso.

Perché il tuo Lead Ad è stato rifiutato per la privacy policy

Quando un Lead Ad finito torna indietro con un errore privacy policy, è quasi sempre uno di questi:

• Link rotto o irraggiungibile. La URL restituisce 404, ha un refuso o richiede login. Aprila in una finestra in incognito per confermare che carichi per chiunque.
• Tipo di file sbagliato. Punta a un PDF, un'immagine, un documento Word o un pulsante di download. Converti in una normale pagina web.
• Nessuna policy visibile. Il link va alla homepage o a una pagina contatti senza vera informativa privacy. Linka direttamente alla pagina policy, idealmente con "Privacy" nella URL e nel titolo.
• Testo copiato o generico. Un template che non menziona mai i tuoi lead forms, il tuo uso dei dati o gli strumenti di Meta può attivare review manuale. Rendilo specifico per la tua campagna.
• Non mobile-friendly. I Lead Ads girano molto su mobile. Se la pagina è difficile da usare o lenta su telefono, la review può bocciarla.

Controlla la diagnostica ads di Meta per il motivo specifico, correggi la pagina e reinvia. La maggior parte dei rifiuti privacy si risolve alla prima correzione.

Impostala una volta, poi lancia

Il requisito della privacy policy sembra un blocco la prima volta che lo incontri, ma è una configurazione una tantum. Quando hai una policy live, mobile-friendly, non PDF, che dichiara le tue pratiche sui dati e il tuo uso degli strumenti di Meta, puoi riutilizzare la stessa URL su ogni Lead Ad, ogni piattaforma e ogni campagna. La parte difficile non è mai stata la policy. È tutto il dopo: costruire moduli, testare offerte e spedire creatività al volume che muove davvero il tuo cost per lead. Chiudi bene la parte compliance una volta, così smette di costarti giorni di lancio, e metti energia nei test che fanno crescere l'account.

Domande frequenti

Le FAQs sopra rispondono alle domande più comuni sulle privacy policy per Facebook Lead Ads, inclusi se puoi riutilizzare la tua policy esistente, cosa fare senza sito web, perché gli ads vengono rifiutati e lo status di contitolare di Meta secondo GDPR.